Am Die, 31 Okt 2000 schrieb Heinz W. Pahlke:
Ich habe diesen Punkt auch nur erwaehnt, weil ich es selbst erlebt habe, wie alle Backups immer sofort im Tresor verschlossen wurde, keine Disketten-LW eingebaut werden durften, die Passwoerter mit irgendwelchen Crack-Programmen auf ihre Tauglichkeit ueberprueft wurden - und niemand von den Verantwortlichen merkte, dass bei mindestens einem Mitarbeiter das Passwort auf der Unterseite des Mousepads verewigt war. Als vermeintlich besonders pfiffige Idee hoerte ich mal auch die Unterseite der Kaffeetasse.
Naja, gegen das Ausspähen durch andere hilft regelmäßiges Ändern zu einem gewissen Grad (hier alle 30 Tage und die Änderungen dürfen nicht den letzten 5 Passwörtern entsprechen oder zu ähnlich sein) Gegen die Kaffeetasse oder das Mousepad kann man nur begrenzt vorgehen. Einige Möglichkeiten: 1. jeder Mitarbeiter muß unterschreiben, daß er sich an bestimmte Regeln hält (und dazu gehört auch, daß das PW nicht einfach irgendwo aufgeschrieben werden darf). Sowas ist eigentlich Bestandteil jeder Security Policy. Am besten in der ersten Schulung für EDV-Einsteiger nach der Einstellung bzw. Systemeinführung 2. Ab und an sollte man auch mal Stichproben machen. Dabei vorher klar definieren, welche Konsequenzen Fehler haben und die dann incl. Chef auch gnadenlos durchziehen. z.B.: 1. Verfehlung --> Gespräch mit Abteilungsleiter 2. Verfehlung --> Zwangsweise Security-Nachschulung in der Freizeit, mindestens 2 Abende oder ein Wochenende 3. Verfehlung --> schriftliche Abmahnung 4. Verfehlung --> Kündigung Sowas muß man dann aber wirklich konsequent durchziehen, sonst wirds unglaubwürdig. In einigen Bereichen funktioniert das sehr gut. Sowas muß man natürlich mit Betriebsrat und Konsorten abstimmen, sonst gibts Ärger. Und man muß sicher auch aufpassen, daß man die "Vergehen" richtig klassifiziert (ein kleiner Fehler oder leichte Unachtsamkeit darf nicht zu derartigen Maßnahmen führen, das Aufschreiben eines Passworts auf dem Mousepad trotz unterschriebener gegenteiliger Erklärung hingegen schon). Ach ja, wichtig: aufpassen, daß die Mitarbeiter nicht anfangen, sich gegenseitig zu denunzieren bzw. aus Angst vor Konsequenzen keine Sicherheitslöcher mehr weitermelden. Wobei der richtige Umgang mit Passwörtern eigentlich zur Betriebskultur gehören sollte, d.H. wer hier murkst, muß das auch sozial zu spüren bekommen (nicht als Kavaliersdelikt behandeln). -- Erhard Schwenk http://www.fto.de http://www.akkordeonjugend.de --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com